状态保持的授权管理方法和系统技术方案

本发明专利技术公开了一种状态保持的授权管理方法和系统，所述方法包括：接收终端在接收授权指令后发送的预存的第一随机数和第一哈希消息认证码，以及生成的第二随机数；当授权指令为第一种授权指令，且根据预设对象的授权码、接收的第一随机数，以及预存的第三随机数和盐，验证第一哈希消息认证码正确时，判定终端授权通过，生成第四随机数；根据预设对象的授权码、盐、第二随机数和第四随机数，计算第二哈希消息认证码；将第四随机数、第二哈希消息认证码和终端授权通过结果发送至终端。本发明专利技术在交互过程中，每次判定终端授权通过后重新生成随机数，计算新的哈希消息认证码，发送给终端用于下一次授权判定，对授权的状态进行记录，满足复杂场合的应用需要。

【技术实现步骤摘要】
状态保持的授权管理方法和系统
本专利技术涉及可信计算
，特别是涉及一种状态保持的授权管理方法和系统。
技术介绍
可信计算(TrustedComputing)是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高系统整体的安全性。可信计算技术是新一代的安全技术，授权是可信计算技术中重要的是一个环节，用于检查终端对资源获取的权限，只有通过授权的命令方可执行。传统授权方式有多种，可以通过口令授权，也可通过密码的挑战/应答授权。在复杂场合下，每一步都需要授权，且每一步的授权都是基于上一步授权的基础上进行的，但是传统授权方式中未对授权的状态进行记录，不便用于复杂场合，例如需要有未授权、授权1、授权2、授权3等多个状态的复杂场合，状态间的转换路径有要求，在这种情况下，就需要对授权状态进行记录，以满足应用需求。
技术实现思路
基于此，有必要针对传统授权方式中未对授权的状态进行记录，不便用于复杂场合的问题，提供一种状态保持的授权管理方法和系统。为了实现上述目的，本专利技术技术方案的实施例为：一种状态保持的授权管理方法，包括以下步骤：接收终端在接收授权指令后发送的预先存储的第一随机数和第一哈希消息认证码，以及所述终端生成的第二随机数，所述第一随机数为在预设安全环境中接收所述终端发送的第三随机数和盐后，生成的随机数，所述第一哈希消息认证码为在预设安全环境中接收所述终端发送的第三随机数和盐，生成所述第一随机数后，根据所述第三随机数、所述盐、所述第一随机数和预设对象的授权码，计算的哈希消息认证码；当所述授权指令为第一种授权指令，且根据所述预设对象的授权码、接收的所述终端在接收授权指令后发送的第一随机数，以及预先存储的所述第三随机数和所述盐，验证所述第一哈希消息认证码正确时，判定所述终端授权通过，生成第四随机数；根据所述预设对象的授权码、所述盐、所述第二随机数和所述第四随机数，计算第二哈希消息认证码；将所述第四随机数、所述第二哈希消息认证码和所述终端的授权通过结果发送至所述终端。一种状态保持的授权管理方法，包括以下步骤：接收终端在接收授权指令后发送的预先存储的第一随机数和第一哈希消息认证码，以及所述终端生成的第二随机数，所述第一随机数为在预设安全环境中接收所述终端发送的第三随机数和加密的盐后，生成的随机数，所述加密的盐通过所述终端根据预设密钥对生成的盐进行加密得到，所述第一哈希消息认证码为在预设安全环境中接收所述终端发送的第三随机数和加密的盐，生成所述第一随机数后，根据所述预设密钥对所述加密的盐进行解密得到盐，根据所述第三随机数、所述盐、所述第一随机数和预设对象的授权码，计算的哈希消息认证码；当所述授权指令为第一种授权指令，且根据所述预设对象的授权码、接收的所述终端在接收授权指令后发送的第一随机数，以及预先存储的所述第三随机数和所述盐，验证所述第一哈希消息认证码正确时，判定所述终端授权通过，生成第四随机数；根据所述预设对象的授权码、所述盐、所述第二随机数和所述第四随机数，计算第二哈希消息认证码；将所述第四随机数、所述第二哈希消息认证码和所述终端的授权通过结果发送至所述终端。一种状态保持的授权管理系统，包括：随机数和哈希消息认证码接收模块，用于接收终端在接收授权指令后发送的预先存储的第一随机数和第一哈希消息认证码，以及所述终端生成的第二随机数，所述第一随机数为在预设安全环境中接收所述终端发送的第三随机数和盐后，生成的随机数，所述第一哈希消息认证码为在预设安全环境中接收所述终端发送的第三随机数和盐，生成所述第一随机数后，根据所述第三随机数、所述盐、所述第一随机数和预设对象的授权码，计算的哈希消息认证码；授权判定模块，用于当所述授权指令为第一种授权指令，且根据所述预设对象的授权码、接收的所述终端在接收授权指令后发送的第一随机数，以及预先存储的所述第三随机数和所述盐，验证所述第一哈希消息认证码正确时，判定所述终端授权通过；随机数生成模块，用于生成第四随机数；哈希消息认证码计算模块，用于根据所述预设对象的授权码、所述盐、所述第二随机数和所述第四随机数，计算第二哈希消息认证码；授权通过结果、随机数和哈希消息认证码发送模块，用于将所述第四随机数、所述第二哈希消息认证码和所述终端的授权通过结果发送至所述终端。一种状态保持的授权管理系统，包括：随机数和哈希消息认证码接收模块，用于接收终端在接收授权指令后发送的预先存储的第一随机数和第一哈希消息认证码，以及所述终端生成的第二随机数，所述第一随机数为在预设安全环境中接收所述终端发送的第三随机数和加密的盐后，生成的随机数，所述加密的盐通过所述终端根据预设密钥对生成的盐进行加密得到，所述第一哈希消息认证码为在预设安全环境中接收所述终端发送的第三随机数和加密的盐，生成所述第一随机数后，根据所述预设密钥对所述加密的盐进行解密得到盐，根据所述第三随机数、所述盐、所述第一随机数和预设对象的授权码，计算的哈希消息认证码；授权判定模块，用于当所述授权指令为第一种授权指令，且根据所述预设对象的授权码、接收的所述终端在接收授权指令后发送的第一随机数，以及预先存储的所述第三随机数和所述盐，验证所述第一哈希消息认证码正确时，判定所述终端授权通过；随机数生成模块，用于生成第四随机数；哈希消息认证码计算模块，用于根据所述预设对象的授权码、所述盐、所述第二随机数和所述第四随机数，计算第二哈希消息认证码；授权通过结果、随机数和哈希消息认证码发送模块，用于将所述第四随机数、所述第二哈希消息认证码和所述终端的授权通过结果发送至所述终端。与现有技术相比，本专利技术的有益效果为：本专利技术状态保持的授权管理方法和系统，首先接收终端在接收授权指令后发送的预先存储的第一随机数和第一哈希消息认证码，以及终端生成的第二随机数；当该授权指令为第一种授权指令，且根据预设对象的授权码、接收的终端在接收授权指令后发送的第一随机数，以及预先存储的第三随机数和盐，验证第一哈希消息认证码正确时，判定所述终端授权通过，生成第四随机数；根据预设对象的授权码、盐、第二随机数和第四随机数，计算第二哈希消息认证码；将第四随机数、第二哈希消息认证码和终端的授权通过结果发送至终端。本专利技术在交互过程中，每次判定终端授权通过后重新生成随机数，计算新的哈希消息认证码，发送给终端用于下一次授权判定，对授权的状态进行记录，满足复杂场合的应用需要；通过在机密信息后增加随机数的方式，扩大明文的搜索空间，有效抵御字典攻击；同时由于添加了随机数，导致每次通信的信息不同，可以防御重放攻击。附图说明图1为一个实施例中状态保持的授权管理方法流程图一；图2为一个实施例中状态保持的授权管理方法流程图二；图3为基于图2所示方法一个具体示例中状态保持的授权管理方法中授权创建流程图；图4为基于图2所示方法一个具体示例中状态保持的授权管理方法中授权使用流程图；图5为基于图2所示方法一个具体示例中状态保持的授权管理方法中授权终止流程图；图6为一个实施例中状态保持的授权管理系统结构示意图一；图7为一个实施例中状态保持的授权管理系统结构示意图二。具体实施方式为使本专利技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本专利技术进行进一步的详细说明。应当理解，此处所描述的具体实施方式仅仅用以解本文档来自技高网...

【技术保护点】
一种状态保持的授权管理方法，其特征在于，包括以下步骤：接收终端在接收授权指令后发送的预先存储的第一随机数和第一哈希消息认证码，以及所述终端生成的第二随机数，所述第一随机数为在预设安全环境中接收所述终端发送的第三随机数和盐后，生成的随机数，所述第一哈希消息认证码为在预设安全环境中接收所述终端发送的第三随机数和盐，生成所述第一随机数后，根据所述第三随机数、所述盐、所述第一随机数和预设对象的授权码，计算的哈希消息认证码；当所述授权指令为第一种授权指令，且根据所述预设对象的授权码、接收的所述终端在接收授权指令后发送的第一随机数，以及预先存储的所述第三随机数和所述盐，验证所述第一哈希消息认证码正确时，判定所述终端授权通过，生成第四随机数；根据所述预设对象的授权码、所述盐、所述第二随机数和所述第四随机数，计算第二哈希消息认证码；将所述第四随机数、所述第二哈希消息认证码和所述终端的授权通过结果发送至所述终端。

【技术特征摘要】
1.一种状态保持的授权管理方法，其特征在于，包括以下步骤：接收终端在接收授权指令后发送的预先存储的第一随机数和第一哈希消息认证码，以及所述终端生成的第二随机数，所述第一随机数为在预设安全环境中接收所述终端发送的第三随机数和盐后，生成的随机数，所述第一哈希消息认证码为在预设安全环境中接收所述终端发送的第三随机数和盐，生成所述第一随机数后，根据所述第三随机数、所述盐、所述第一随机数和预设对象的授权码，计算的哈希消息认证码；当所述授权指令为第一种授权指令，且根据所述预设对象的授权码、接收的所述终端在接收授权指令后发送的第一随机数，以及预先存储的所述第三随机数和所述盐，验证所述第一哈希消息认证码正确时，判定所述终端授权通过，生成第四随机数；根据所述预设对象的授权码、所述盐、所述第二随机数和所述第四随机数，计算第二哈希消息认证码；将所述第四随机数、所述第二哈希消息认证码和所述终端的授权通过结果发送至所述终端。2.根据权利要求1所述的状态保持的授权管理方法，其特征在于，当所述授权指令为第二种授权指令，且根据所述预设对象的授权码、接收的所述终端在接收授权指令后发送的第一随机数，以及预先存储的所述第三随机数和所述盐，验证所述第一哈希消息认证码正确时，判定所述终端授权终止，删除所述第二随机数和所述第三随机数，将所述终端的授权终止结果发送至所述终端。3.根据权利要求1或2所述的状态保持的授权管理方法，其特征在于，验证所述第一哈希消息认证码的方式包括：根据所述预设对象的授权码、接收的所述终端在接收授权指令后发送的第一随机数，以及预先存储的所述第三随机数和所述盐，计算第三哈希消息认证码；当所述第三哈希消息认证码与所述第一哈希消息认证码相同时，验证所述第一哈希消息认证码正确，否则，验证所述第一哈希消息认证码错误。4.一种状态保持的授权管理方法，其特征在于，包括以下步骤：接收终端在接收授权指令后发送的预先存储的第一随机数和第一哈希消息认证码，以及所述终端生成的第二随机数，所述第一随机数为在预设安全环境中接收所述终端发送的第三随机数和加密的盐后，生成的随机数，所述加密的盐通过所述终端根据预设密钥对生成的盐进行加密得到，所述第一哈希消息认证码为在预设安全环境中接收所述终端发送的第三随机数和加密的盐，生成所述第一随机数后，根据所述预设密钥对所述加密的盐进行解密得到盐，根据所述第三随机数、所述盐、所述第一随机数和预设对象的授权码，计算的哈希消息认证码；当所述授权指令为第一种授权指令，且根据所述预设对象的授权码、接收的所述终端在接收授权指令后发送的第一随机数，以及预先存储的所述第三随机数和所述盐，验证所述第一哈希消息认证码正确时，判定所述终端授权通过，生成第四随机数；根据所述预设对象的授权码、所述盐、所述第二随机数和所述第四随机数，计算第二哈希消息认证码；将所述第四随机数、所述第二哈希消息认证码和所述终端的授权通过结果发送至所述终端。5.根据权利要求4所述的状态保持的授权管理方法，其特征在于，当所述授权指令为第二种授权指令，且根据所述预设对象的授权码、接收的所述终端在接收授权指令后发送的第一随机数，以及预先存储的所述第三随机数和所述盐，验证所述第一哈希消息认证码正确时，判定所述终端授权终止，删除所述第二随机数和所述第三随机数，将所述终端的授权终止结果发送至所述终端。6.一种状态保持的授权管理系统，其特征在于，包括：随机数和哈希消息认证码接收模块，用于接收终端在接收授权指令后发送的预先存储的第一随机数和第一哈希消息认证码，以及所述终端生成的第二随机数，所述第一随机数为在预设安全环境中接收所述终端发送的第三随机数和盐后，...

【专利技术属性】
技术研发人员：杨祎巍，肖勇，林伟斌，赵云，
申请(专利权)人：南方电网科学研究院有限责任公司，中国南方电网有限责任公司电网技术研究中心，
类型：发明
国别省市：广东,44